toddler lotto 문제를 풀었습니다.
조금 삽질을 했는데 허탈하네요....ㅋㅋㅋ
2pt 문제이고, 문제 보시죠.
Mommy! I made a lotto program for my homework.
do you want to play?
별로 내용이 없어서 ssh연결하여 바로 c코드를 확인해보면 아래와 같이 나옵니다.
lotto@ubuntu:~$ cat lotto.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
unsigned char submit[6];
void play(){
int i;
printf("Submit your 6 lotto bytes : ");
fflush(stdout);
int r;
r = read(0, submit, 6);
printf("Lotto Start!\n");
//sleep(1);
// generate lotto numbers
int fd = open("/dev/urandom", O_RDONLY);
if(fd==-1){
printf("error. tell admin\n");
exit(-1);
}
unsigned char lotto[6];
if(read(fd, lotto, 6) != 6){
printf("error2. tell admin\n");
exit(-1);
}
for(i=0; i<6; i++){
lotto[i] = (lotto[i] % 45) + 1; // 1 ~ 45
}
close(fd);
// calculate lotto score
int match = 0, j = 0;
for(i=0; i<6; i++){
for(j=0; j<6; j++){
if(lotto[i] == submit[j]){
match++;
}
}
}
// win!
if(match == 6){
system("/bin/cat flag");
}
else{
printf("bad luck...\n");
}
}
void help(){
printf("- nLotto Rule -\n");
printf("nlotto is consisted with 6 random natural numbers less than 46\n");
printf("your goal is to match lotto numbers as many as you can\n");
printf("if you win lottery for *1st place*, you will get reward\n");
printf("for more details, follow the link below\n");
printf("mathematical chance to win this game is known to be 1/8145060.\n");
}
int main(int argc, char* argv[]){
// menu
unsigned int menu;
while(1){
printf("- Select Menu -\n");
printf("1. Play Lotto\n");
printf("2. Help\n");
printf("3. Exit\n");
scanf("%d", &menu);
switch(menu){
case 1:
play();
break;
case 2:
help();
break;
case 3:
printf("bye\n");
return 0;
default:
printf("invalid menu\n");
break;
}
}
return 0;
}
main() 도 별게 없고, play()를 분석해보면 처음보는것이 있었는데요.
/dev/urandom 라는 파일에서 유사난수를 읽어오는 것입니다. (참고로 유사난수는 난수를 흉내내기 위해 알고리즘으로 생성되는 값을 말합니다.)
구글에 /dev/urandom 취약점이라고 검색을 하니 여러 검색결과가 나왔지만 side channel attack 중 하나인 timing attack 으로 풀이한 CTF write up만 나오더군요.
이 문제와는 별로 관계가 없었습니다. (반복문이 별로 돌지 않아요..)
그래서 찾은 부분이 아래 소스코드인데요.
// calculate lotto score
int match = 0, j = 0;
for(i=0; i<6; i++){
for(j=0; j<6; j++){
if(lotto[i] == submit[j]){
match++;
}
}
}
// win!
if(match == 6){
system("/bin/cat flag");
}
else{
printf("bad luck...\n");
}
입력한 값과 /dev/urandom 에서 읽어온 값과 if문을 통해 같은지 확인을 한 후 match++을 해주는 것 처럼!!! 보이지만
자세히보면 우리가 입력한 값 1개만 비교를 하여 match++ 해주는 것을 볼 수 있습니다.
그렇다면 우리가 입력한 값 중 1byte만 유사난수와 같아도 flag를 볼 수 있을 것입니다.
그리고 또 유의해서 볼 부분이 전역으로 선언된 unsigned char submit[6] 과
for(i=0; i<6; i++){
lotto[i] = (lotto[i] % 45) + 1; // 1 ~ 45
}
이 부분인데요. 여기서 lotto의 값을 45로 나눈 나머지 값에 + 1을 하기 때문에
우리가 할 수 있는 최소한의 조건이 생기죠..??
먼저 우리가 입력한 값이 들어가는 submit[6] 이 char 즉, 문자형이므로 아스키코드로 수(숫자)를 입력해야하며 만약 A를 넣는다면 10진수로 65가 들어가겠죠?
하지만 lotto에 들어가는 값은 모두 1 ~ 45 사이의 값이므로 아스키코드표를 참고해서 이 사이의 값을 하나씩 입력해주면 맞는게 하나라도 있을것 입니다.
그 값들은 우리가 키보드로 입력할 수 있는 것들 중 선택을 해주시면 되는데
저는 #, $, ", ! 이런 문자들을 입력해 봤습니다.
lotto@ubuntu:~$ ./lotto
- Select Menu -
1. Play Lotto
2. Help
3. Exit
1
Submit your 6 lotto bytes : !!!!!!
Lotto Start!
~~~~~~~~~~~~~~~~~~~~~~flag~~~~~~~~~~~~~~~~~~~~
- Select Menu -
1. Play Lotto
2. Help
3. Exit
1
Submit your 6 lotto bytes :
Lotto Start!
bad luck...
- Select Menu -
1. Play Lotto
2. Help
3. Exit
1
Submit your 6 lotto bytes : """"""
Lotto Start!
~~~~~~~~~~~~~~~~~~~~~~flag~~~~~~~~~~~~~~~~~~~~
- Select Menu -
1. Play Lotto
2. Help
3. Exit
1
Submit your 6 lotto bytes : $$$$$$
Lotto Start!
bad luck...
- Select Menu -
1. Play Lotto
2. Help
3. Exit
1
Submit your 6 lotto bytes : ######
Lotto Start!
bad luck...
- Select Menu -
1. Play Lotto
2. Help
3. Exit
1
Submit your 6 lotto bytes : ######
Lotto Start!
s~~~~~~~~~~~~~~~~~~~~~~flag~~~~~~~~~~~~~~~~~~~~
- Select Menu -
1. Play Lotto
2. Help
3. Exit
그리하여 이렇게 flag를 출력해 낼 수 있었습니다.
이상 풀이를 마칩니다.
(롸업 작성하기 좀 민망하네요...)
